firewall (ipfw: static, stateful)
Miroslav Prýmek
m.prymek at gmail.com
Tue Mar 30 23:26:38 CEST 2010
Diky za odpoved.
On 30.3.2010, at 21:57, Dan Lukes wrote:
> Ano, i kdyz ne pro kazdy typ paketu - typicky musis povolit nektere ICMP a pak samozrejme TCP, vyjma ovsem SYN!ACK.
>
Jasne, tohle jsem si neuvedomil, ze muzu nestavove filtrovat podle flagu a tim do jiste miry ochranit i pocitace uvnitr site
(krome toho naruseni existujiciho spojeni, o kterym jsi uz mluvil)
>
>> Existuji nejake odhady, jak naplnena tabulka zacina byt nebezpecna (napr. typicky je potreba otevrit
>> 10000/100k/1M spojeni)? (tim chci rict, kdyz jde treba o tu tady zminenou sit sesti set neduveryhodnych pocitacu,
>> je realne, ze by nekdo provedl dos na NAT, nebo k tomu potrebuje vic pocitacu?)
>
> Pokud mas dostatek pameti a vypocetniho vykonu s ohledem na pocet prochazejicich paketu za jednotku casu tak neni nebezpecna nikdy.
>
To jsem prave myslel jako tu otazku - jestli nekdo nekde nevidel nejaky konkretni priklad "na zeleze XY s YZ RAM stacilo
otevrit ZX spojeni, aby se server efektivne zhroutil kvuli swapovani". Vubec totiz nemam predstavu, jak je vlastne
takovy ddos pravdepodobny - jak moc usili by utocnik musel vynalozit, jestlize bude predpokladat, ze mam nejaky bezny
hw. Jde mi o to, jestli to zvladne vicemene jakykoli Franta Zakernak, nebo to musi byt nekdo, kdo ma pristup
k dostatecne velkymu botnetu.
Pro hrubou predstavu by asi stacilo i vedet, jak velka je datova struktura pridelena pro jedno spojeni - moc bytu
to asi nebude, ne? (takze k uspesnymu ddosu - umoznenymu RAMkou - by ten pocet spojeni musel byt enormni)
> Prestava, ze mi tam jen-tak vznikne tisic dalsich pravidel a timto, o dva rady vetsim, poctem pravidel budou vsechny tyto pakety prochazet me zas az tak moc nelaka. Pohybuju se v tomto konkretnim pripade na hrane toho, co PC router vubec zvlada a prestoze nemam vycisleno jak hodne by ho to zpomalilo, ze by ho to zpomalilo je jasne ...
>
Tady by me taky zajimaly nejaky konkretni testy, jestli nekdo o necem nevite. S vetsima sitema s vetsim provozem
nemam zkusenosti a pamatuju si, ze me kdysi docela sokovalo, kdyz jsem slysel, ze na jakesi siti jenom
firewallovani vytizi docela (uz je to par let) slusnej pocitac.
Samozrejme je tady taky ta souvislost s ddos - jestli onen router prestane plnit funkci pravdepodobneji kvuli
nedostatku RAM nebo kvuli vypocetni narocnosti prochazeni pravidel.
diky
Mirek
More information about the Users-l
mailing list